Analisando o interesse legítimo no GDPR

Conforme mencionado na postagem inicial de Dennis para nossa série de blogs Regulamentação geral de proteção de dados (GDPR), as organizações estabelecidas ou operando na UE devem ter uma base legal para o processamento de dados pessoais. O GDPR fornece seis bases legais para esse processamento: consentimento, interesse legítimo, contrato, obrigação legal, interesses vitais e tarefas públicas. A maioria das organizações que procuram adquirir novos clientes ou usuários olhará para o consentimento ou interesse legítimo como a base permitida para o processamento. Na semana passada, ouvimos Elizabeth, nossa especialista em privacidade, sobre consentimento . Nesta semana, vamos examinar o "interesse legítimo". Tem havido muita confusão em torno dos interesses legítimos, então tentaremos esclarecer e dizer o que pensamos sobre isso!

O idioma
Primeiro, vamos dar uma olhada na linguagem relevante do Artigo 6 (1) (f) do GDPR sobre interesse legítimo:

O processamento será legal apenas se e na medida em que pelo menos um dos seguintes se aplique:

(f) o tratamento é necessário para efeitos dos interesses legítimos do responsável pelo tratamento ou de terceiros, exceto se esses interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que requeiram a proteção de dados pessoais, em particular em que o titular dos dados é uma criança.

É tentador pensar que o interesse legítimo pode ser usado para cobrir uma ampla gama de circunstâncias, eliminando a necessidade de consentimento. Mas interpretações amplas desta seção foram abertamente desencorajadas: “exceções abertas ao longo das linhas do Artigo 6 do RGPD e, em particular, do Art. 6 (f) GDPR (fundamento de interesse legítimo), deve ser evitado. ” Ver Artigo 29.º Grupo de Trabalho para a Proteção de Dados, Parecer n.º 01/2017 sobre a Proposta de Regulamento para o Regulamento ePrivacidade (2002/58 / CE), adotado em 4 de abril de 2017.

Então, onde as organizações traçam a linha?

Interesse legítimo em jogo
Primeiro, vamos considerar o que é um interesse legítimo. O GDPR fornece alguns exemplos, como o processamento de dados pessoais para evitar fraudes, para fins administrativos internos relacionados a funcionários e clientes, para garantir a segurança da rede e da informação e para relatar possíveis atos criminosos ou ameaças à segurança pública a uma autoridade competente. Além disso, o processamento de dados necessário para atender à governança corporativa interna ou externa ou aos requisitos de conformidade legal relacionados provavelmente será considerado um interesse legítimo.

Talvez um exemplo menos óbvio, o considerando 47 do RGPD aponta para o “processamento de dados pessoais para fins de marketing direto” como um interesse legítimo. Um mal-entendido comum que encontramos aqui é que essa linguagem justifica todo marketing e até mesmo opt-ins flexíveis. Para entender melhor por que esse não é o caso, é útil primeiro considerar o que este texto não diz: isso não quer dizer que todo e-mail marketing ou todo envio de material de marketing direto é permitido.

Em segundo lugar, é fundamental lembrar que o GDPR não opera no vácuo. Para fins de marketing direto, as organizações e os profissionais de marketing devem ter em mente como o GDPR funciona com a Diretiva de Privacidade e Comunicação Eletrônica ( Diretiva de Privacidade Eletrônica ), que fornece regras de consentimento suplementares para marketing enviado por telefone, fax, e-mail, SMS e outros canais de comunicação eletrônica , e que está atualmente em processo de atualização. De acordo com a atual Diretiva ePrivacy, o consentimento opt-in para marketing por e-mail e SMS é necessário, a menos que (i) a coleta tenha ocorrido no ponto de venda e (ii) uma opção de opt-out tenha sido fornecida nesse ponto. Assim, embora alguns profissionais de marketing de primeiro nível tenham uma base legal para o marketing direto com base na venda e opt-out (por enquanto), em todos os outros casos, os profissionais de marketing devem cumprir os requisitos de consentimento opt-in, independentemente de terem um interesse legítimo nos termos do GDPR.

O que constitui um interesse legítimo ficará mais claro com o tempo, com mais orientações e decisões dos órgãos relevantes e com a publicação da próxima diretiva alterada de privacidade eletrônica. Enquanto isso, estamos usando esses exemplos e os parâmetros estabelecidos pelo GDPR discutidos abaixo, como uma estrutura para aderir aos princípios de processamento com base no interesse legítimo.

Evitando armadilhas de interesses legítimos
Para estabelecer com confiança que o interesse legítimo existe genuinamente, as organizações devem analisar e documentar a necessidade do processamento específico e sua conclusão depois de equilibrar o interesse do processamento com os direitos dos titulares dos dados. Isso é conhecido por alguns como uma Avaliação de Interesse Legítimo (“LIA”). Quanto à necessidade do tratamento, sugerimos adquirir o hábito de perguntar: pode-se atingir o mesmo objetivo sem o tratamento de dados pessoais? Se a resposta for “sim”, então a melhor prática é abandonar o interesse legítimo como base para o processamento e obter consentimento.

Se a resposta for “não”, o objetivo não pode ser alcançado de outra forma, um bom próximo passo é perguntar: a necessidade de processamento é superada pelos interesses ou direitos dos titulares dos dados? Ao responder a esta pergunta, é importante lembrar que os titulares dos dados têm o direito de contestar o interesse legítimo como base para o processamento, objeção essa que só pode ser superada com motivos “convincentes” definidos pela organização de processamento.

Dadas essas restrições, ao confiar no interesse legítimo como base para o processamento, recomendamos ter um processo em vigor para manter um registro por escrito da necessidade e das conclusões de equilíbrio. Isso é especialmente importante quando o titular dos dados é uma criança. E como prática geral, ajudará a evitar armadilhas de interesses legítimos e a demonstrar que foi dada a devida consideração à necessidade de processamento e aos direitos e liberdades das pessoas cujos dados estão sendo processados.

Uma nota no aviso
Se uma organização depende de interesses legítimos como base para o processamento do GDPR, é necessário que a organização informe os indivíduos cujos dados estão sendo coletados sobre quais são os interesses legítimos e se eles têm o direito de contestar. Isso pode ser feito no momento da coleta de dados ou, no caso do aviso de objeção, na seção de um aviso de privacidade que trata dos direitos das pessoas. Como acontece com tudo o que está relacionado ao GDPR e à privacidade, a melhor maneira de fazer isso é ser direto e transparente sobre suas atividades de processamento.